Aunque ha sido la propia Blackberry la que ha hecho público un comunicado informando de esta vulnerabilidad que afecta al servicio Blackberry Enterprise Service 10, hay que decir que la vulnerabilidad que permite el acceso remoto de terceras personas ha sido descubierta por Paul O´Grady.
Según se ha podido saber, el problema permitía la ejecución de código de forma remota por culpa de unas políticas de seguridad mal configuradas, más concrétamente, era el entorno JBoss integrado en el sistema BES el que poseía el fallo de seguridad. A todo esto hay que añadir que dicho módulo se ejecuta utilizando permisos de administrador.
Este a su vez es la base para que Universal Device Service funcione de forma correcta, por lo que el problema era considerado por la propia compañía como importante.
Sin embargo, de momento no se ha tenido conocimiento de que algún usuario de Blackberry Enterprise Service se haya visto afectado por este problema, coincidiendo que tampoco se han localizado exploits en Internet que permitan el aprovechamiento del mismo.
Consecuencias del fallo de seguridad
Como consecuencia, una tercera persona podría llevar a cabo la ejecución de código de forma remota, permitiendo además que se pudiese establecer una comunicación con el módulo JBoss utilizando Java RMI. Después de haber establecido la comunicación, se podría haber creado un servidor que podría haber servido como distribuidor de contenido malicioso por la red.
Desde Blackberry se han dado prisa y ya han puesto a disposición de los usuarios la versión 10.1.30 para ser descargada.
Los servicios de mensajería en el aire
Desde que Blackberry anunció que dejaría de fabricar terminales para usuarios particulares, muchas han sido las especulaciones que afirmaban que tanto BIS como BES acabarían desapareciendo a corto plazo, señalando en primer lugar BIS, por el simple motivo de que se dejarían de fabricar terminales.
Sin embargo, no está nada claro el futuro de ambos, por lo que habrá que esperar a ver si finalmente esta decide vender los activos de la empresa de forma fragmentada.
http://www.redeszone.net/2013/10/15/fallo-de-seguridad-importante-en-blackberry-enterprise-service-10/